Minos - 一款基于Python的开源社区系统

Minos具有以下特点：
简单：去除传统社区中多数不常用到的功能，保留精华。（这里向 http://zone.wooyun.org 学习）
高效：
mongodb：数据库设计合理，以空间换取时间，尽量减少数据库查询次数。
异步：tornado+motor全异步库，增加web高并发访问效率
redis：抛弃php中以文件形式保存session的做法，以redis内存数据库保存session，增加速度。
安全：
CSP：全站默认开启CSP，以新一代的前端安全策略防御前端安全问题（包括XSS/CSRF/Clickjacking等）。
Secure by default原则：使用默认的安全机制，所有业务逻辑问题为安全让步。不符合安全的业务都没有被加入Minos。tornado框架及其安全理念对Minos的安全有突出贡献。
注入漏洞：tornado不允许嵌套解析，用户通过GET/POST传入的参数只是字符串，不会成为list或dict，所以正常情况下不会造成mongodb的注入。
文件上传：python将不会去解析用户上传的任何文件。另外Minos在用户上传时仍然会检查后缀，为防止XSS。
XSS漏洞：Tornado框架原则上所有输出在模板里的变量都会经过“HTML实体化”，包括单引号，一般情况下不会存在XSS漏洞。另外，社区帖子内容为富文本，将经过富文本过滤器Python-XSS-Filter（ https://github.com/phith0n/python-xss-filter ）过滤并输出。
CSRF漏洞：Tornado框架在开启xsrf_cookies后，所有POST表单如果没有Token将不会被接受。Minos默认开启xsrf_cookies，并且所有增删改查操作均通过POST进行。
密码存储：Minos中，用户密码使用bcrypt库计算哈希后存入数据库，加密方法类似Wordpress，不能被简单破译。
稳定：作者女座的性格处理所有已知问题，不允许一个warning。Minos已在debian上稳定运行多日。
响应式：框架AmazeUI是一个mobile first的前端框架，对于各种屏幕的适应性都很好，加上我在手机屏幕大小的情况下隐藏了很多不必要的功能，所以在手机端也能愉快地看文章啦~

测试了有一段时间了，然后昨天今天把文档写的差不多了，现在发出来。
如果你愿意使用，那么请把文档详细读完，我能写的基本都写进去了。如果还有其他疑问的话，可以再来问我。
并且招募一群喜欢开源、喜欢python的基友，帮我一起完善Minos。
喜欢python web开发的加我QQ吧：273899921，验证信息就写minos

http://waf.science
不要误会我自己不想做论坛/社区，这个站只是为了展示Minos功能用哒~
想用Minos做社区的同学，可以下来和我聊聊，我能帮就帮。

本文始发于微信公众号（代码审计）：Minos - 一款基于Python的开源社区系统